「Web担当者のためのセキュリティの教科書」memo
企画段階から運用までの注意点をまとめてある本。
場面場面の知識会得に便利です。
Web担当者のための
セキュリティの教科書
Webサイトのセキュリティ・リスクマネジメントの基礎知識
Webの成り立ちから知るセキュリティの重要性
Webのセキュリティを脅かすのは誰なのか
Webサイトへの攻撃にはどのようなケースがあるか
不正アクセス
偽サイト
負荷攻撃
トラブル
通信登頂
脆弱性攻撃
被害を受けるのはあなただけではない
Webサイトの企画時に気をつけるべきこと
企業情報ページで公開していい情報と危険な情報
動的なページは採用する規格に注意する
お問合せフォームで発生するリスク
クッキー(Cookie)とセッション管理
個人情報保護方針(プライバシーポリシー)作成時の注意点
特定商取引法と利用規約
Webサービスの運営と免責事項
要件定義時に気をつけるべきこと
ドメイン名の選び方とセキュリティ
コンテンツ内容選定にともなう注意事項
Web制作時に注意すべき時系列別のセキュリティ要件
Webサイトの性能要件に含まれるセキュリティ要件
要件定義時に検討すべきWebサイトのライフサイクル
制作・チェック時に気をつけるべきこと
Webサイトの脆弱性とそれを狙う攻撃
クロスサイトスクリプティング
XSS
SQLインジェクション
ディレクトリトラバーサルとOSコマンドインジェクション
セッション管理の不備
クロスサイト・リクエスト・フォージェリとクリックジャッキング
CSRF
HTTPヘッダ・インジェクション
メールヘッダ・インジェクション
バッファオーバーフロー
アクセス制御や認可制御の欠落
IPA
安全なウェブサイトの作り方
https://www.ipa.go.jp/security/vuln/websecurity.html
運用時に気をつけるべきこと
Webサーバを守るために必要なこと
パスワードの運用や取り扱い方法について
ポートの設定とログ管理
サーバー証明書とデータベース連携
ネットワークを守るための手段
DNSサーバーの運用について
短期間で大きな効果が出るWAF
Web Application Firewall
Webアプリケーション
特化
ファイアウォール
どうしても残ってしまうその他のリスク
攻撃のトレンドと、それを取り巻く現在のシステム環境
標準型メール攻撃とその対策
誰でも気軽にできるものと化したサイバー攻撃
ソーシャルエンジニアリングとは
事後対応で気をつけなければならないこと
セキュリティが破られたときになにからすればよいか
被害の深刻度を判断する
深刻な場合の緊急対応とインシデントレスポンス
関係者への報告と顧客への対応の注意点
攻撃から自社の資産を守る自組織内CSIRT
SNS運用で気をつけなければならないこと
SNSの種類と特長
SNSの利用が招く危険性とその対策
SNSで顧客対応を行う際の注意点
APPENDIX
主なccTLD
主なgTLD
主な属性型jpドメイン名